我们的网络设备使用 tacplus 进行身份验证和授权。tac 本身使用 kerberos 进行身份验证。对于其中一个项目,我们需要使用脚本自动登录 F5 设备。有人知道脚本是否可以使用 keytab 生成 kerberos 票证,然后使用该票证通过 tac/kdc 进行身份验证吗?如果可能,您能否指出相关文档/链接?谢谢
答案1
为了实现这一点,您至少需要使用另一个配备访问策略管理器的 F5 来实现自动登录。但是,F5 是基于 Linux 的,因此您可以考虑使用SSH 密钥用于执行此操作。
答案2
您可以使用 Kerberos 对虚拟服务器的客户端流量进行身份验证:
手册章节:配置 Kerberos 委派 https://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/ltm_implementation/sol_kerberos_delegation.html
但是您不能使用 Kerberos 进行管理系统身份验证。以下是支持的管理员身份验证方法:
手册章节:配置远程用户身份验证和授权 https://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/tmos-implementations-11-3-0/26.html
本地管理数据库 LDAP Active Directory TACACS+ 客户端 SSL 证书 / LDAP
您想对管理脚本使用什么协议(SSH 或 iControl)?
亚伦